The_Preacher 0 Report post Posted December 2, 2010 Hallo, nachdem ich früher in der DemoScene unterwegs war, hab ich mir heute nach langer Zeit wieder einige 4k - 64k Demos heruntergeladen, um sie anzuschauen. Dabei kam mir sehr suspekt vor, dass EAM keine Meldungen brachte, da die Demos ja oft heftigst durch die Packer gejagt werden und der Code oft Ähnlichkeiten mit Malware hat. Bei einer Demo machte ich dann die Probe aufs Exempel und lud sie auf virustotal hoch. Und siehe da, mindestens 50% (false)positives. Das wäre ja OK gewesen, aber EAM machte bei Virustotal auch den Fund. Warum warnte dann auf meinem PC der Wächter nicht? Gegengecheckt: Wenn ich die Datei mit "->rechte Maustaste ->Scan with Anti-Malware" scanne, gibt die Ikarus-Engine den "Gen.Trojan!IK" aus. Der Wächter macht aber gar nix. Ich kann die Datei starten (ist 'ne false positive), kopieren, was auch immer. Na ja, dachte ich mir, versuchen wir's mit dem Eicar-Test. Auch hier dasselbe. Der Wächter macht nix, nur der On-Demand-Scanner findet was! Das ist einigermaßen schockierend! Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted December 2, 2010 (edited) Hallo, V 5.0.0.84 stable S 6.043.145 Wächter: Verhaltensanalyse aktiviert und alles ausgewählt (die springt z.B. bei Spielen, die Tastatureingaben simulieren, regelmäßig an). Der Dateiwächter ist aktiviert, mit "Scanne zusätzlich auch alle Dateien wenn sie erstellt oder veränder werden", sowie Riskware, Unbekannte Malware (Heuristik) und "Schütze den PC auch..." Einzige Auffälligkeit in den letzten Wochen war, das nach dem Systemstart EAM zwar aktiviert war, aber für das Win7 Security Center erst nochmals deaktiviert und reaktiviert werden musste, um erkannt zu werden. Eine Besonderheit wären die vielen Ausnahmen, die ich aktivert habe. Natürlich nichts vom Schlage "*.*"... "OT: Wir sind doch alle die gleichen Freaks, nicht? Um diese Zeit noch vor der Kiste... ;-)" Edited December 2, 2010 by The_Preacher Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted December 2, 2010 Achja, die Demo war die "Actuator" von "Conspiracy" von 2009 und Eicar direkt von eicar.org. Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted December 2, 2010 Anbei die Demo... Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted December 3, 2010 Microsoft Windows [Version 6.1.7600] Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten. C:\Windows\system32>fltmc Filtername Anzahl von Instanzen Höhe Frame ----------------------------- -------------------- ---- ----- DefragFS <Legacy> a2injectiondriver 0 328910 0 a2acc 9 328900 0 luafv 1 135000 0 FileInfo 9 45000 0 C:\Windows\system32>sc query a2acc SERVICE_NAME: a2acc TYPE : 2 FILE_SYSTEM_DRIVER STATE : 4 RUNNING (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 C:\Windows\system32>sc qc a2acc [sC] QueryServiceConfig ERFOLG SERVICE_NAME: a2acc TYPE : 2 FILE_SYSTEM_DRIVER START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : \??\C:\PROGRAM FILES (X86)\EMSISOFT ANTI-MALWARE\a2 accx64.sys LOAD_ORDER_GROUP : FSFilter Anti-Virus TAG : 0 DISPLAY_NAME : a2acc DEPENDENCIES : FltMgr SERVICE_START_NAME : C:\Windows\system32> Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted December 3, 2010 HKCU gibt's gar keinen, HKLM schicke ich dir! Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted December 3, 2010 Ich gehe jetzt mal in die Heia, muss fit sein für morgen Schnee schippen... Danke einstweilen für deine prompte Rückmeldung, ich melde mich gleich morgen nochmals. Wenn du möchtest könnten wir auch eine Remote-Sitzung aufmachen... Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted December 3, 2010 Hab' jetzt grad noch einen Test per Remote-Desktop auf einem anderen PC gemacht. Der verhindert die Ausführung von eicar.com sofort, die Demo wird aber auch nur vom on-demand-scanner IK-Signatur erkannt. Weiß nicht, ob das so richtig wäre... LG und gute Nacht Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted December 3, 2010 Nochwas: CWDIllegalInDllSearch=ffffffff ist gesetzt, EMET mit DEP Application Opt Out, sowie SEHOP Opt Out und ASLR Opt In global, aber natürlich nicht explizit für eure Prozesse, damit es keine Probleme gibt... Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted December 3, 2010 Ich wär dann wieder verfügbar... Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted December 3, 2010 Ich habe auch probeweise mal versucht, die Option "Scanne zusätzlich auch alle Dateien, wenn Sie gelesen werden.". Was allerdings überflüssig sein sollte, denn auf dem anderen PC, wo der Wächter zumindest die eicar-Datei sofort findet, ist die Einstellung bis auf viele der Ausnahmen gleich. CWD... ist dort auch auf FF... und EMET ist auch identisch gesetzt. Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted December 3, 2010 Ja, ich vermute, die Ausnahmeliste ist einfach zu lang... Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted December 6, 2010 Frage: soll ich EAM inzwischen neu installieren? Ich möchte euch nicht in den Bugfix reinpfuschen, aber natürlich bin ich auf ein funktionierendes AV-Programm angewiesen... Share this post Link to post Share on other sites
Pilis 3 Report post Posted December 7, 2010 Ich möchte hier mal kurz anknüpfen: Habe eben auch nach den Registry-Keys geschaut und komischerweise finde ich überhaupt keinen Emsisoft Ordner - weder unter "HKLM\Software" oder "HKCU\Software". Habe die Registry mal komplett nach "Emsisoft" durchsucht. Er findet schon ein paar Sachen, dass diese Ordner jedoch fehlen, finde ich schon merkwürdig. Ich muss dazu aber auch sagen, dass der EICAR-Virus und die Demo oben bei mir bereits beim Runterladen von Anti-Malware erkannt werden. Die Ausgabe von "fltmc" sieht bei mir wie folgt aus (die Ausgabe von "sc query a2acc" und "sc qc a2acc" ist genau gleich wie bei "The_Preacher"): Filtername Anzahl von Instanzen Höhe Frame ----------------------------- -------------------- ---- ----- DefragFS <Legacy> dc_fsf 429998.99 <Legacy> a2acc 5 328900 0 OADevice 3 323900 0 luafv 1 135000 0 FileInfo 5 45000 0 Meine Specs: Windows 7 Professional x64 Emsisoft Anti-Malware 5.0.0.84 Emsisoft Online Armor Premium 4.5.1.431 (die Version ohne den Virenscanner) Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted December 7, 2010 Hallo, ich habe heute einige Spiele deinstalliert, die mein Sohn durchgespielt hat und somit nicht mehr verwendet. Nach der Deinstallation habe ich die betreffenden Ausnahmen im Guard gelöscht. Anscheinend ist es doch hauptsächlich die Länge der Liste, die den Unterschied macht. Nun funktioniert der Wächter wieder, und schlägt bei der Eicar-Datei an! Die beiden HKLM (vorher/nachher) schicke ich dir gerade per PM! Share this post Link to post Share on other sites
Christian Mairoll 227 Report post Posted December 7, 2010 Wir können das Problem mit zu langer Ausnahmenliste bestätigen. Das heutige Update sollte den Bug beheben. Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted December 7, 2010 Na wunderbar. Danke für die prompte Rückmeldung! Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted January 21, 2011 Soo, heute habe ich mal Mamutu anstatt EAM probiert, um herauszufinden, was den Programmstart auf dem zweiten PC so extrem verlangsamt, z.B. Outlook Startzeit auf über 14 Sekunden, Explorer idem. Also EAM deinstalliert, Neustart, Mamutu installiert. Ergebnis: immer noch sehr langsam, vielleicht ein paar Sekunden schneller. Leider war es also nicht die Ikarus-Engine, wie ich vermutet hatte. Also Mamutu wieder deinstalliert, Neustart, EAM mit Beta-Updates wieder installiert. Und siehe da, alles läuft wieder schnell. Denkste - zu schnell! Eicar-Testfile heruntergeladen, keine Reaktion vom Wächter, der Scanner hat aber angeschlagen. Mal nachsehen: Microsoft Windows [Version 6.1.7600] Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten. C:\Windows\system32>sc query a2acc SERVICE_NAME: a2acc TYPE : 2 FILE_SYSTEM_DRIVER STATE : 1 STOPPED WIN32_EXIT_CODE : 1077 (0x435) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 C:\Windows\system32>sc qc a2acc [sC] QueryServiceConfig ERFOLG SERVICE_NAME: a2acc TYPE : 2 FILE_SYSTEM_DRIVER START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : \??\C:\PROGRAM FILES (X86)\MAMUTU\a2accx64.sys LOAD_ORDER_GROUP : FSFilter Anti-Virus TAG : 0 DISPLAY_NAME : a2acc DEPENDENCIES : FltMgr SERVICE_START_NAME : C:\Windows\system32> Tja, die Deinstallation hat definitiv nicht geklappt. Neustarts habe ich immer gemacht, aber das war anscheinend nicht genug. Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted January 21, 2011 Ich hab's jetzt über die Registry umgebogen, ich hoffe, das reicht aus: Microsoft Windows [Version 6.1.7600] Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten. C:\Windows\system32>sc query a2acc SERVICE_NAME: a2acc TYPE : 2 FILE_SYSTEM_DRIVER STATE : 4 RUNNING (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 C:\Windows\system32>sc qc a2acc [sC] QueryServiceConfig ERFOLG SERVICE_NAME: a2acc TYPE : 2 FILE_SYSTEM_DRIVER START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : \??\C:\Program Files (x86)\Emsisoft Anti-Malware\a2 accx64.sys LOAD_ORDER_GROUP : FSFilter Anti-Virus TAG : 0 DISPLAY_NAME : a2acc DEPENDENCIES : FltMgr SERVICE_START_NAME : C:\Windows\system32> Es scheint so zu funktionieren. Hoffe, das wars? Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted January 21, 2011 Jetzt bin ich auf was interessantes draufgekommen. Weder die einzelne Deaktivierung der Ikarus-Komponente noch die einzelne Deaktivierung der verhaltensbasierten Erkennung beschleunigt den langsamen Programmstart. Nur das Ein- und Ausschalten des Filter-Treibers oder des kompletten Guard bringt etwas. Warum? Was ist bei diesem PC so anders, ausser, dass er ein RAID1 hat? Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted January 22, 2011 Wahrscheinlich ist, daß die Revocation Checks für die Zertifikate die Verzögerung auslösen. Genaueres kann ich aber auch nur sagen, wenn ich mir die Maschine mal genauer betrachten könnte. Ließe sich da evtl. eine VNC Verbindung oder so arrangieren? Aber klar doch. Ich schätze ab Montag seit ihr auch wieder im Einsatz, da können wir dann vereinbaren. Muss halt ins Büro, da ich zu dem speziellen PC hauptsächlich per Remote Desktop zugreife, und das verträgt sich laut meiner Erfahrung mit Teamviewer und Co. nicht so gut. Ich würde gerne "Physisch" vor der Kiste sitzen. Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted January 22, 2011 OK, danke, bis Montag! Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted January 24, 2011 So, sehr guter Service, muss ich sagen. Das sind mal Entwicker, die sich persönlich um ihr Produkt kümmern. Kompliment! Herausgefunden haben wir in diesem speziellen Fall den Performance-Verlust durch DLL Scan bei der Ikarus Komponente, der für die Verzögerungen gesorgt hat. Der verhaltensbasierte Wächter und alles andere haben für keinerlei nennswerte Performanceeinbußen gesorgt. So kann man trotz relativ scharfer Sicherheitseinstellungen trotzdem ungestört arbeiten! Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted January 27, 2011 Bezüglich der Ausnahme im Dateiwächter (nur Datei- und nicht Verhaltenswächter) für DLL-Dateien, wollte ich nachfragen, ob man diese alternativ zur Einstellung "Scanne nur Dateien mit folgenden Endungen" -> .DLL aus der Dateiliste löschen, nicht auch über "Ausnahmen bearbeiten" -> Typ "Datei" - Eintrag "*.DLL" -> nur Haken bei Dateiwächter konfigurieren kann. Geschwindigkeitsmäßig ist der Wächter so rasend schnell, und bei verschiedenen Tests schlug der Wächter trotzdem sofort an, also sollte es so auch klappen, nicht? Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted January 28, 2011 Ich bin mir nicht sicher ob der Ausnahme Dialog mit Wildcards korrekt umgehen kann. Muss ich erst die zuständigen Entwickler fragen. Laut meinen bisherigen Tests müsste es so sein. Natürlich habe ich jetzt nicht per Debugger den Dateifilter untersucht... ;-) Share this post Link to post Share on other sites
The_Preacher 0 Report post Posted January 28, 2011 OK, danke, kann ich so bestätigen! Share this post Link to post Share on other sites